Siber güvenlik olaylar Bu günlerde sürekli haberlerde yer alıyorlar, ancak yakında onlardan çok daha fazlasını duyacaksınız. Bunun nedeni, Menkul Kıymetler ve Borsa Komisyonu’nun tüm halka açık şirketlerin veri ihlallerini yalnızca dört gün içinde bildirmelerini gerektiren yeni bir kuralın Pazartesi günü yürürlüğe girmesiydi.
yeni SEC kuralı Halka açık şirketlerin, bir siber güvenlik olayı “materyali”nin belirlenmesinden sonraki dört iş günü içerisinde resmi bir başvuruda bulunmasını gerektirir. 23andMe’nin veri ihlalinde kullanıcılar Aralık ayında şunu öğrendi: 6,9 milyon kişinin biyolojik verileri açığa çıktıhack’in gerçekleşmesine rağmen Ekim başı. Bu durumda, 23andMe’nin saldırının ciddiyetini ve ne kadar önemli olduğunu ne zaman öğrendiği belli değil, ancak kullanıcıların çok daha erken uyarılmış olması mümkün.
En son araştırmaya göre, halka açık şirketlerin olayları SEC’e bildirmesi şu anda yaklaşık 80 gün sürüyor. Gartner’ın. Şirketlerin büyük veri ihlallerine halkla ilişkiler yanıtlarını düzenlerken yanıt vermeleri daha uzun sürdüğünden, bu sayı 2020’deki 60 günden ancak son yıllarda arttı. Ancak bazıları 100 güne yakın bir zaman alıyor çünkü veri saldırılarının bildirilmesiyle ilgili çok az kural var.
Bu mevzuattaki anahtar kelime “maddidir”, çünkü bir siber güvenlik olayının tam olarak ne zaman böyle olduğunun belirlenmesi belirsiz ve zordur. Yargıtay tanımlar maddi delil makul bir yatırımcının bunun önemli olduğunu düşünmesi önemli bir olasılıktır. Bir CEO Ocak ayında bir veri ihlali hakkında bilgi sahibi olabilir, ancak bunun önemli olduğunu ancak haftalarca süren dahili incelemeden sonra Şubat ayında belirleyebilir.
Temmuz ayında kabul edilen ancak 18 Aralık’ta yürürlüğe giren SEC kuralı, şirketlerin bir olayın niteliği, kapsamı ve zamanlaması hakkında daha fazla ayrıntı vermesini de gerektiriyor. Bu, halkın veri ihlalleri hakkında eskisinden daha hızlı bir şekilde daha fazla bilgi sahibi olacağı anlamına geliyor. Milyonlarca kullanıcı veri noktasından kâr elde eden ancak nispeten zayıf güvenlik sistemlerine sahip olan kamu şirketleri, siber güvenlik önlemlerini uzun süredir baltalıyor.
Daha geçen hafta Comcast’in her bir Xfinity müşterisinin verilerini kaybettiğini öğrendik; PlayStation’ın Insomniac Games’i hacklendi 1,67 terabayt veri kaybettiçalışanlarının pasaportları ve yeni Wolverine oyununun ayrıntıları dahil; ve büyük bir ipotek ve kredi şirketi olan Bay Cooper’ın verileri kayboldu. 14 milyon insan. Bunlar sadece bu hafta bildirilen siber güvenlik olayları. Ancak, verilerinizi kaybeden başka bir şirketten zaten etkilenmiş olabilirsiniz ve henüz bunun farkında değilsiniz. Yeni SEC kuralı bunu değiştirmeyi amaçlıyor.
